服务器关闭 2 天后,与 LockBit 相关的勒索软件仍在传播 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

服务器关闭 2 天后,与 LockBit 相关的勒索软件仍在传播

山卡拉 新闻 2024-02-26 12:00:00
49280
收藏

导语:本轮攻击利用了Connectwise 销售的远程桌面应用程序。

距离对勒索软件集团LockBit 进行重大打击的两天后,研究人员又发现了新一轮的攻击,这些攻击正在安装与该组织相关的恶意软件。

这些攻击是在过去 24 小时内检测到的,利用了Connectwise 销售的远程桌面应用程序——ScreenConnect中的两个关键漏洞。

据 SophosXOps 和 Huntress 两家安全公司的研究人员称,成功利用这些漏洞的攻击者会继续安装 LockBit 勒索软件和其他利用后恶意软件。目前尚不清楚该勒索软件是否为 LockBit 官方版本。

Huntress 的首席安全研究员John Hammond在电子邮件中写道:“我们暂时无法公开透露客户的姓名,但可以确认当前部署的恶意软件与 LockBit 有关。”

很难查明的原因

SophosXOps 和 Huntress 没有透露正在安装的勒索软件是官方 LockBit 版本还是由 2022 年 LockBit 内部人泄露的版本。自那时以来,泄露的架构程序已广泛传播,并引发了一系列非官方操作的模仿攻击。

安全公司 Trend Micro 的研究人员表示:“当架构被泄露时,可能会让溯源变得更加困难。例如,2023 年 8 月,我们观察到一个自称为 Flamingo 组织的团体使用泄露的 LockBit 载荷,与 Rhadamanthys stealer 捆绑在一起。2023 年 11 月,我们发现另一组织,自称为 Spacecolon,冒充 LockBit。该组织使用的电子邮件地址和 URL 使受害者误以为是在与 LockBit 打交道。”

SophosXOps表示他观察到了几次 LockBit 攻击,但目前没有其他详细信息。Hammond也表示,该恶意软件与勒索软件组织“有关联”,无法立即确认该恶意软件是官方版本还是山寨版。

这次攻击发生在英国、美国和欧洲刑警宣布成功重创 LockBit 之后的两天。此次行动包括夺取了 14000 个账户和 34 台服务器的控制权,逮捕了两名嫌疑人,并发布了五项起诉书和三份逮捕令,还冻结了与勒索软件操作相关的 200 个加密货币账户。这些行动是在调查人员侵入并控制了 LockBit 基础设施之后进行的。

有关部门表示,LockBit 作为全球最活跃的勒索软件团体之一,从全球数千名受害者中勒索了超过 1.2 亿美元。与大多数其他勒索软件团体一样,LockBit 采用勒索软件即服务模式运作,附属团体分享他们通过使用 LockBit 勒索软件和基础设施产生的收入。

鉴于附属团体的庞大数量以及它们广泛分布于各个组织领域,往往不太可能全部被消除,有可能一些附属团体仍然在运作。

除了安装与 LockBit 相关的勒索软件外,Hammond表示,攻击者还安装了几个其他恶意应用,包括一个被称为 Cobalt Strike 的后门、加密货币挖矿器以及用于远程连接到受损基础设施的 SSH 隧道。

ScreenConnect 漏洞正在大规模利用,并被标识为 CVE-2024-1708 和 CVE-2024-1709。ConnectWise 已为所有受影响版本提供了补丁。

本文翻译自:https://arstechnica.com/security/2024/02/ransomware-associated-with-lockbit-still-spreading-2-days-after-server-takedown/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务